CVE-2026-44588

Nome do Software Vulnerável e Versões Afetadas SiYuan versões anteriores a 3.7.0

Descrição Existe um problema no manipulador de mouseover de tooltips onde o software lê o atributo aria-label e o processa usando decodeURIComponent antes de atribuir o resultado ao messageElement.innerHTML. O codificador escapeAriaLabel() lida apenas com caracteres especiais de HTML padrão e ignora escapes de URL %XX. Consequentemente, um título de documento contendo caracteres codificados em URL (ex: %3Cimg src=x onerror=...%3E) ignora o codificador e é convertido em tags HTML literais pelo decodeURIComponent durante o processo de renderização. Quando atribuído ao innerHTML, o interpretador HTML executa o script injetado.

Como o renderizador está configurado com nodeIntegration: true, contextIsolation: false e webSecurity: false, o manipulador injetado pode acessar require('child process'), levando à execução de código arbitrário no desktop da vítima. Isso pode ser acionado ao passar o mouse sobre resultados de pesquisa, tooltips da árvore de arquivos ou nomes e descrições de colunas AV.

Recomendações Atualize para a versão 3.7.0. Como medida paliativa temporária, restrinja o uso da propriedade innerHTML em app/src/dialog/tooltip.ts, substituindo-a por textContent para evitar a interpretação de HTML nas mensagens de tooltip. Evite o uso de decodeURIComponent em caminhos genéricos de aria-label em app/src/block/popover.ts.